golang.org/x/crypto/ssh パッケージをアップデートしましょう【セキュリティ・アップデート】
golang.org/x/crypto/ssh パッケージをアップデートするようアナウンスが出ている。
ひとつは SSH 認証時の問題:
Version v0.0.0-20220315160706-3147a52a75dd of
golang.org/x/crypto/sshimplements client authentication support for signature algorithms based on SHA-2 for use with existing RSA keys.Previously, a client would fail to authenticate with RSA keys to servers that reject signature algorithms based on SHA-1. This includes OpenSSH 8.8 by default and—starting today March 15, 2022—github.com for recently uploaded keys.
もうひとつは golang.org/x/crypto/ssh パッケージを使って SSH サービスを構成する場合の脆弱性で CVE-2022-27191 が割り当てられている。
Version v0.0.0-20220314234659-1baeb1ce4c0b (included in the version above) also fixes a potential security issue where an attacker could cause a crash in a
golang.org/x/crypto/sshserver under these conditions:
- The server has been configured by passing a
SignertoServerConfig.AddHostKey.- The Signer passed to
AddHostKeydoes not also implementAlgorithmSigner.- The Signer passed to
AddHostKeydoes return a key of type “ssh-rsa” from itsPublicKeymethod.Servers that only use
Signerimplementations provided by the ssh package are unaffected.
golang.org/x/crypto/ssh パッケージを使って SSH サービスを利用している方はアップデートしましょう。
ブックマーク
参考図書
- プログラミング言語Go (ADDISON-WESLEY PROFESSIONAL COMPUTING SERIES)
- Alan A.A. Donovan (著), Brian W. Kernighan (著), 柴田 芳樹 (翻訳)
- 丸善出版 2016-06-20
- 単行本(ソフトカバー)
- 4621300253 (ASIN), 9784621300251 (EAN), 4621300253 (ISBN)
- 評価
著者のひとりは(あの「バイブル」とも呼ばれる)通称 “K&R” の K のほうである。この本は Go 言語の教科書と言ってもいいだろう。と思ったら絶版状態らしい(2025-01 現在)。復刊を望む!
- 暗号技術入門 第3版 秘密の国のアリス
- 結城 浩 (著)
- SBクリエイティブ 2015-08-25 (Release 2015-09-17)
- Kindle版
- B015643CPE (ASIN)
- 評価
SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。